В чем суть технологии fly code

Обновлено: 10.01.2025

До миллиона потенциально вредоносных образцов поступает в сутки
в вирусную лабораторию «Доктор Веб».

Не всё пришедшее — вредоносные программы. Но все они должны быть обработаны нашими специалистами. Если добавлять знания о каждом новом троянце или вирусе сигнатурами — размер вирусной базы превысит все разумные размеры, и это будут знания только об известных вирусах. А их меньшинство!

Угроза заражения новейшим НЕИЗВЕСТНЫМ вирусом есть ВСЕГДА.

Технологически сложные и особо опасные вирусы, особенно созданные для извлечения коммерческой выгоды, вирусописатели проверяют на обнаружение по всем антивирусам перед тем, как выпустить такой вирус в «живую природу», чтобы вирус существовал незамеченным антивирусами как можно дольше. Поэтому всегда существует временная дельта между выпуском троянца злоумышленниками, попаданием его образца на анализ в вирусную лабораторию и изготовлением противоядия. До поступления образцов таких вирусов в лабораторию они не обнаруживаются ни одним антивирусом — если он использует только сигнатурные методы детектирования (например, бесплатные антивирусы).

Считается, что антивирус обязан обнаруживать
все вредоносные программы в момент их проникновения.

Только 30% вредоносного ПО обнаруживает сигнатурами современный антивирус.

Как Dr.Web обнаруживает еще 70% вредоносного ПО?

В продуктах Dr.Web для обнаружения и обезвреживания неизвестного вредоносного ПО применяется множество эффективных несигнатурных технологий, сочетание которых позволяет обнаруживать новейшие (неизвестные) угрозы до внесения записи в вирусную базу.

Эвристический анализатор

Обнаружение неизвестных вредоносных программ, на основании знаний (эвристики) об определенных особенностях (признаках) вирусов — как характерных именно для вирусного кода, так и, наоборот, крайне редко встречающихся в вирусах.

Эвристики обнаруживают только новые модификации ранее попавших на анализ вредоносных программ, с известным антивирусу поведением.

Технология Origins Tracing TM

Распознавание вирусов, еще не добавленных в вирусную базу Dr.Web, путем сканирования исполняемого файла, который рассматривается как некий образец, построенный характерным образом, и сравнения полученного образца с базой известных вредоносных программ.

Модуль эмуляции исполнения

Обнаружение полиморфных и сложношифрованных вирусов, когда непосредственное применение поиска по контрольным суммам невозможно либо крайне затруднено (из-за невозможности построения надежных сигнатур), путем имитации исполнения анализируемого кода эмулятором — программной моделью процессора (и отчасти компьютера и ОС).

Технология Fly-Code

Качественная проверка упакованных исполняемых объектов.

Распаковка любых (даже нестандартных) упаковщиков методом виртуализации исполнения файла.

Обнаружение вирусов, упакованных даже неизвестными антивирусному ПО Dr.Web упаковщиками.

Комплексный анализатор упакованных угроз

Значительное повышение уровня детектирования якобы «новых угроз» — известных вирусной базе Dr.Web, но скрытых под новыми упаковщиками.

Исключает необходимость добавления в вирусную базу все новых и новых записей об угрозах.

Технология Script Heuristic

Предотвращение исполнения любых вредоносных скриптов в браузере и PDF-документах без нарушения функциональности легитимных скриптов.

Защита от заражения неизвестными вирусами через веб-браузер.

Работа независимо от состояния вирусной базы Dr.Web совместно с любыми веб-браузерами.

Технология анализа структурной энтропии

Обнаружение неизвестных угроз по особенностям расположения участков кода в защищенных криптоупаковщиками проверяемых объектах.

Часто можно услышать о том, что тот или иной новый вирус обходит защиту антивируса. Это действительно возможно, однако обход обходу рознь.

Один из популярнейших способов обхода – перешифрование уже известного антивирусу троянца или иной вредоносной программы. Файл шифруется или упаковывается так, что антивирус не может распаковать его и опознать известную угрозу. Достигается это, в частности, использованием упаковщиков, пакующих файлы с помощью неизвестного антивирусу формата.

Технология Fly-Code обеспечивает качественную проверку упакованных исполняемых объектов, распаковывает любые (даже нестандартные) упаковщики методом виртуализации исполнения файла, что позволяет обнаружить вирусы, упакованные даже неизвестными антивирусному ПО Dr.Web упаковщиками, без распаковки архивов. Технология позволяет уменьшить размер вирусных баз.

Но обходит троянец защиту или нет – он в любом случае анализируется на вредоносность, то есть перехватывается. Обхода методов защиты – нет .

Проиллюстрируем на примере из жизни. Вы сидите на пропускном пункте, мимо вас проходят люди, и вы должны выявить среди них нарушителей. Вы делаете это по формальным признакам (наличие пропуска/паспорта) или на основе визуальной оценки (идет прямо или ползет и лыка не вяжет). Визуальный осмотр – это метод перехвата, обойти вас тут мог бы лишь человек-невидимка. В теории такое бывает, но на практике – нет, поэтому, несмотря на требования о необходимости защиты от стелс-проникновений, вам вполне достаточно, как и прежде, иметь охранника на входе.

С чем же сравнить обход антивируса? В описанном выше примере это подкоп под забором или проникновение через окошко, оставшееся открытым, в то время как проверка происходит на вахте.

Можно ли этому противостоять? Да: пустить патруль с овчарками.

Применительно к антивирусу вахта – это контроль запускаемых программ, т. е. файловый монитор. Даже если есть уязвимость, то для запуска файла (как было в случае с WannaCry) этот самый файл должен присутствовать в системе. А если таковой появится – то он будет проверен и на основании «ориентировок» либо пропущен, либо ликвидирован.

А патруль – антируткит, периодически проверяющий запущенные процессы. Дело в том, что не все вредоносные программы – файловые. Есть и бесфайловые вирусы, да и в процесс тоже можно внедриться без создания файла на диске.

Получается, что так или иначе антивирус проверит файл, и защиту обойти не удастся. Но почему же троянцы запускаются, а пресса сообщает об обходах?

Не будем вновь говорить о случаях необновления или отключения антивируса. Проблема в том, что и файловый монитор, и антируткит опознают вредоносные программы по записям в ядре – «ориентировкам». Нет такой «ориентировки» – запуск разрешен. Правильно ли это? А правильно ли будет, если полиция будет хватать любого, кто просто зашел в дом? Ведь зайти может и вор, и просто знакомый попить чаю.

Антивирус может «расстреливать» всех входящих, но не должен этого делать.

Можно ли решить проблему? Да, если следить за всеми, прошедшими на охраняемую территорию. Так и делается: это превентивная защита, которая следит за всеми действиями уже запущенных программ.

А обход? Оказывается, в большинстве случаев он происходит из-за экономии хозяина охраняемой территории. Обычный антивирус проверяет исключительно на основании сигнатур вирусных баз. И, «действуя в рамках закона», при отсутствии сигнатуры претензий к злоумышленнику не имеет. А вот система комплексной защиты – Dr.Web Security Space – срубит любого злоумышленника при первом подозрительном действии.

Итого. Если вы читаете новость об обходе антивируса, то, скорее всего, это подмена понятий и речь идет о создании файла, для которого пока нет записи в вирусных базах. Она появится максимум часа через два после начала первой атаки. А самого обхода можно было избежать, правильно настроив антивирус.

Антивирусная правДА! рекомендует

В среду, 15 июня, Европол сообщил об успешной операции, в результате которой с 5 по 9 июня в шести странах Европы были арестованы шесть клиентов криптор-сервиса. Операция под кодовым названием Neuland проводилась в течение года и началась в апреле 2016 года с ареста немецкой полицией 22-летнего гражданина Германии. Неназванный житель города Кобленц обвиняется в создании криптора и платформы, позволяющей вирусописателям тестировать свое ПО на предмет обхода антивирусной защиты. Названия ресурсов Европол не приводит.

Это – первая известная нам акция такого масштаба, направленная не против распространителей вредоносных программ, а против тех, кто обеспечивал возможность обхода антивирусной защиты.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Поставьте «Нравится»

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Хорошая технология Fly-Code, помогает идельно, вопросов нету. Ну надеюсь работающий обновленный Dr.Web обойти не удастся. @YorudArud, это верно только для целевой атаки. Но обычному пользователю столкнуться с ней маловероятно. Типичная атака широковещательна - атака идет на множество пользователей, поэтому нам и не нам она попадает практически гарантированно @Вячeслaв, я имел в виду, что дрвеб или другой вендор может не знать, что на какие-то ПК проводится атака, если там не установлено вашего или никакого антивируса или с него не отправляется нужная инфа в антивирусную лабораторию. Да еще и как-то должно быть определено, что действие вредоносное. @YorudArud, "Очень сомнительно, что "запись в базе появится максимум часа через два после начала первой атаки"". Статистика и не более. Свежих тестов не найду, но журналисты проводили тестирование обновлений. Нормальная скорость реакции - два часа. И при чем это реакция от появления до обновления пользователя. То есть до появления в базах на зонах обновлений - еще меньше.
Автоматизация процессов обработки образцов рулит. Основное время - не занесение в базу, а пересборка базы и тестирование совместимости с различным ПО.
Почему так мало? Основное вредоносное ПО - трояны. Для вирусов нужно искать по файлу тело вируса, разрабатывать процедуру лечения. Для троянов нужно найти характерный участок и все. А мне понравилось:"А вот система комплексной защиты – Dr.Web Security Space – срубит любого злоумышленника при первом подозрительном действии." Очень сомнительно, что "запись в базе появится максимум часа через два после начала первой атаки" овчарки улыбнули) хороший текст, помогает организовать порядок в голове по поводу технологий Dr.Web Наверное, тоже кстати. Сегодня прошло очередное обновление компонентов в продуктах Dr.Web. Мощные обновления (нужна перезагрузка). Интересная статья. Да, обход возможен. Но это было бы еще полбеды. Плохо то, что он иногда внезапно случается, - "иной новый вирус обходит защиту антивируса". Временной коридор в два часа пусть и не велик, но, тем не менее, он опасен. Можно сказать, что в некоторый отрезок времени, бывает, вирус с антивирусом просто сосуществуют ("приглядываются") до поры, когда антивирус увидит его зловредную сущность и примет соответствующие меры. Неопознанный объект будет проверен и, на основании "ориентировок" (по записям в ядре Dr.Web), либо пропущен, либо ликвидирован. Так или иначе, антивирус проверит файл, и защиту обойти не удастся. Нужна "самая малость", - установленный работающий правильно настроенный Dr.Web Security Space и внимательная осторожная своя голова на плечах. Автору - респект! Статья хорошая. Понятно, доходчиво, ясно. Спасибо. Пропускной пункт, охрана, патруль с собаками и это всё всего за полторы тыщи почти на три года! Круто! Не, точно не переплатил.)))) И антивирусное решение с превентивной защитой существенно снижает риск заражения вредоносными программами, чем без неё. Обход ассоциируется с чем-то постоянным, не зависящим от обновления антивирусных баз и самого антивируса. Всем оставаться у компьютера, это антивирусная полиция, вы задержаны при попытке обойти антивирусную защиту. Аналогия с пропускным пунктом интересная. Я не вникаю в тонкости защиты - доверяю Dr.Web! Хотелось бы надеяться на то, что методов обхода действительно нет. Какие-то антивирусы наверняка обходятся, так что доля правды в сенсационных заголовках есть. Действительно нередко НЕпрофессионалами размывается граница между понятиями (Если вы читаете новость об обходе антивируса, то, скорее всего, это подмена понятий) ради псевдосенсации. Спасибо за пояснение, очень важно когда вещи называются своими именами.

QR-код в аэропортах России – одна из самых обсуждаемых тем среди путешественников, кто уже запланировал новогодний тур на черноморское побережье или в горнолыжный курорт. Необходимость наличия прививки от коронавируса связывают с осложнившейся ситуацией по заболеваемости и вопросом безопасности туристов. На момент написания этого текста летать по России без QR кода было можно, но правила и требования аэропортов меняются каждый день.

Давайте разбираться, нужен ли QR-код для перелётов по России, и когда наличие виртуального сертификата на Госуслугах станет обязательным даже на внутренних направлениях.

Перелёты по России: нужен ли QR-код?

Первоначально ужесточить правила передвижения по России на период пандемии планировали в течение одной рабочей недели, однако столь серьёзные поправки потребовали всех бюрократических процедур. Повторные слушания назначили на начало декабря, однако из-за сложности урегулирования их несколько раз переносили. По актуальной информации, окончательное решение будет принято не раньше 14 декабря текущего года.

Одновременно с этим, 16 ноября руководство аэропорта Шереметьево заявило о подготовке к переходу на массовый QR режим. Проверять будут, как туристов, вылетающих за границу, так и тех, кто отправляется из Москвы в российские регионы. Код с прямой ссылкой на Госуслуги нужно будет предъявлять, на этапе бронирования авиабилетов и непосредственно перед входом в самолёт. Аэрофлот, Уральские Авиалинии и S7 выступили с готовностью к изменениям.

Кроме того, авиаперевозчики позаботились о тех, кто по объективным причинам не может вакцинироваться или, например, физически не успевает поставить второй компонент прививки. Если поездка планировалась на период введения ужесточённых мер, то пассажир имеет право заявить о полном возврате средств за предоплаченные билеты. Деньги обещают вернуть на банковский счёт, с которого производилась оплата, в течение 30 рабочих дней.

Важно: Изменения коснутся всех пассажиров старше 18 лет, имеющих российское гражданство. Для детей, подростков и иностранных граждан будут рассмотрены дополнительные меры.

QR-код для внутренних перелётов по России: перспективы на 2022 год

Как сообщают оперативный штаб и представители Ростуризма, большинство авиакомпаний к 1 января 2022 года будут готовы к внедрению мер проверки QR-кодов. Фактически, перевозчики могут начать работу в таком режиме уже сейчас – так, Хабаровский край вводит обязательное предъявление кодов с 1 декабря. Чтобы улететь из дальневосточного региона даже в соседнюю область, нужно быть полностью привитым, либо показать задокументированный медотвод.

Сколько будет длиться ограничение с QR-кодами, не берутся прогнозировать даже специалисты оперштаба. Изначальные данные, что до февраля включительно летать можно будет со свежим ПЦР-тестом, периодически опровергается, правила коснутся только иностранных граждан. При улучшении эпидемиологической обстановки поправки обещают отменить не раньше июня 2022 года, если же ситуация с пандемией продолжится, они останутся для туристов «по умолчанию».

Фильмы-катастрофы об эпидемиях, убивающих человечество, становятся явью?

За кордоном, например, британский интернет-ресурс Daily Mail, кстати, один из самых популярных в Англии, публикует похожий материал-страшилку «Почему новый вариант „омикрон“ такой страшный?» Ответ такой: все потому, что штамм взял все самое плохое от «альфа», «бета» и «дельта», плюс к этому «перехитрил» ученых, которые почему-то считали, что спайк-белок не претерпит сильных изменений.

Практически с криком «спасайся, кто может», DM пишет: «Ученые предупредили, что новый штамм может сделать ковид-вакцины на 40% менее эффективными для предотвращения инфекции. Однако влияние на тяжелое заболевание до сих пор неизвестно. Но они сказали, что появление мутантного варианта делает еще более важным бустерный укол в ту же минуту, когда он только появится». Такие фразы обычно характерны для коммерческих пиар-кампаний «покупайте, как только появится в продаже». Но, как говорится, не суди и судим не будешь.

Короче, о том, что штамм с идентификационным номером B.1.1.529, получивший название «омикрон», имеет более шестидесяти мутаций, 32 из которых в спайк-белке (с помощью него коронавирус проникает через мембрану клетки человека), не написал только ленивый блогер. Для сравнения: у дельта-штамма их (мутаций) чуть больше десяти, а шороху зараза навела много.

Значит, омикрон-штамм — это самый настоящий супермутант. Его появление, кстати, можно смело приравнять к сюжету для фильма-катастрофы об эпидемиях, убивающих человечество. 19 ноября, в пятницу, в конце рабочей недели, Ракель Виана, научный руководитель одной из крупнейших частных испытательных лабораторий Lancet Южной Африки, секвенировала гены на восьми образцах коронавируса. По ее словам, все было как обычно и ничего не предвещало плохого, но вдруг от увиденного она получила самое тяжелое потрясение в своей жизни.

«Я была шокирована», — позже поделилась вирусолог с журналистами первым своим впечатлением, и сразу у нее эта мысль сменилась «угнетающим ощущением, что штамм будет иметь огромные разветвления» и последствия. Виана быстро позвонила своему коллеге из Национального института инфекционных заболеваний (NICD) в Йоханнесбурге, спецу по секвенированию Даниэлю Амоако. Тот сказал, пока никому не говорить.

Амоако и его команда специалистов провели выходные 20−21 ноября в NICD, тестируя восемь образцов, которые прислала им Виана, в попытке найти ошибку. Но, увы, перед ними был совершенно новый штамм коронавируса. Мутации подтвердились, хотя, по мнению ученых, они «были настолько странными, что в них было трудно поверить».

Ко вторнику, 23 ноября, после тестирования еще 32-х образцов, взятых у больных в больницах Йоханнесбурга и Претории, «все стало ясно, — сказал Амоако, — и это было страшно». С того времени прошла первая неделя.

По последним данным из ЮАР: за сутки 30 ноября зафиксировано новых случаев заражения ковидом (4373) на 404% больше, чем неделю назад 24 ноября (1275). Между тем, днем ранее число заболевших составило 2273 (фактически вдвое), но в больницы попало только 86 человек, при этом новые случаи смерти даже уменьшились до 21 с 25 случаев днем ранее. Правда, трагическая статистика, как правило, отстает от статистики заболеваний с лагом на несколько недель.

Майкл Мина, штатовский эпидемиолог, иммунолог и практикующий врач считает, что остановить распространение супермутанта можно лишь тотальными экспресс ПЦР-тестами в аэропортах и ж/д вокзалах, тогда как перемещение автомобильным транспортом запретить.

Что касается вакцинированных, то, по мнению Пола Сакса, другого американского врача-инфекциониста, ковид-паспорта не могут быть гарантией, что человек здоров. Короче, о QR-кодах можно смело забыть, только экспресс-тесты на антитела перед посадкой в самолет или поезд могут стать преградой на пути заразы. Дескать, более 30 мутацией в спайк-белке слишком много, чтобы доверять уже сделанным прививкам. Он пишет: «Нет, нет ничего идеального. Но это должно быть лучше, чем лоскутное одеяло противоречивых правил и предписаний, которые мы имеем сейчас» с подачи ВОЗ.

Даже если предположить, что омикрон-штамм менее смертелен, чем дельта-штамм, но поскольку он невероятно заразный, то ковидарии окажутся переполнены еще далеко до прохождения плато. Словом, «шеф, все пропало».

И тут возникла другая более зловещая проблема. Представители геномных и биотехнологических компаний уже предупредили производителей ПЦР-тестов, экспресс-тестов на антитела, а также фирмы, выпускающие прививки, что скоро закончатся реагенты, расходники и другая «химия» для текущих лабораторных и лечебных целей.

Об этом сообщил Тулио де Оливейра, директор Центра по контролю над эпидемиями и инновациями Южной Африки. Имеющийся сегодня запас по отдельным позициям составляет от 6 до 9 месяцев при темпах заражения недельной давности. Но во время очередной, пятой по счету волны, вызванной уже омикрон-штаммом, эти запасы исчезнут буквально за месяц.

Де Оливейра пожаловался, что под благовидным предлогом уже получил «от ворот поворот» от ведущих геномных и биотехнологических компаний, хотя ЮАР поделилась штаммом «омикрон» с другими государствами. Якобы самолеты уже не летают в Южную Африку, хотя непонятно, как это соотносится с транспортными бортами.

Вот тебе, бабушка, и Юрьев день, то бишь «мировое распределение труда», в необходимости которого убеждали россиян говорливые «гайдары и чубайсы». Если завтра не будет ПЦР-тестов, или они будут стоить заоблачно дорого — к Анатолию Борисовичу обращайтесь. Это, как говорится, к слову.

Похоже, западные производители спешно создают запасы, тогда как другим странам, даже своим союзникам, они показывают фигу. Думается, что ситуация с фармохимией и расходниками в России ничуть не лучше, чем в ЮАР, потому что все у нас «привозное» — импортное.

Впрочем, сейчас крайне мало информации, чтобы делать хоть какие-то выводы. Ученые взяли двухнедельную паузу, чтобы разобраться с новой угрозой. Но то, что Ракель Виана обнаружила 19 ноября омикрон-штамм во всех исследуемых образцах, говорит о том, словно в Йоханнесбурге он, вероятно, уже является доминирующим, тогда как всплеска смертности в ЮАР не наблюдается. Напротив, идет снижение трагической статистики.

Повторимся, по мнению очень многих врачей, все предположения о «страшном супермутанте» строятся на геномной расшифровке его спайк-белка, «ответственного» не за течение болезни, а за проникновение в организм человека.

Именно поэтому сегодня между вирусологами США и Великобритании, с одной стороны, и их многочисленными коллегами из европейских стран с другой, идет негласная грызня, поскольку янки и бритты, по сути, присвоили себе право на формирование антиковидной политики в мире.

По словам бывшего депутата ЮАР Джо-Энн Даунс, Вашингтон и Лондон навязывает всем свои запреты и правила, не подкрепленные наукой, а также, пользуясь моментом, взвинчивают цены на продукцию большой англосакской Фармы, хотя ранее ее статус считался международным. Возможно, вся эта шумиха поднята с одной коммерческой целью, предполагает экс-законодатель.

Страшен ли омикрон-штамм, как со слов ряда специалистов утверждает Daily Mail, или нет, покажет только время. Но факт остается фактом: в фармацевтических вопросах на импорт и международное разделение труда России особо рассчитывать не приходится, о чем говорят даже специалисты ЮАР — союзника, к слову, США.

Читайте также: